Qu’est-ce que « MDC_REOPEN_FOR_ACCIDENTAL_DELETE » et Prisma Cloud comment l’éviter?
9615
Created On 12/09/21 03:50 AM - Last Modified 05/17/23 03:21 AM
Question
- Qu’est-ce que « MDC_REOPEN_FOR_ACCIDENTAL_DELETE » et Prisma Cloud comment l’éviter?
Environment
- Prisma Cloud
Answer
- Lorsqu’une alerte ouverte est résolue, la raison de la résolution de cette alerte est incluse pour faciliter les audits.
- La raison est affichée dans l’objet de réponse dans le API, et dans la console d’administration de Vue d’ensemble des alertes lorsque vous sélectionnez une alerte résolue et passez en revue les détails de l’alerte pour la Prisma Cloud ressource en infraction.
- L’une de ces raisons est « MDC_REOPEN_FOR_ACCIDENTAL_DELETE ».
- Cela indique que l’alerte a été rouverte pendant l’ingestion lorsque la ressource a été redécouverte (instantané d’une instance de ce type partagé ci-dessous).
Cause
- Habituellement, cela se produit si Prisma Cloud des problèmes intermittents d’ingestion de ressources.
- Comme son nom l’indique, avec Ingestion marquant les ressources comme supprimées par accident, les alertes correspondantes sont également résolues.
- Toutefois, lors de l’analyse d’ingestion suivante, les mêmes ressources sont redécouvertes, ce qui entraîne la réouverture de toutes les alertes précédentes.
- De même, si vous ignorez manuellement une alerte pour une violation de règle réseau policy , Prisma Cloud rouvre automatiquement l’alerte lorsqu’elle détecte à nouveau la même violation.
- Comme il s’agit d’un événement rare, les alertes reçues le sont par conception.
- Si un grand nombre de ces alertes sont résolues et rouvertes, identifiez les types de ressources les plus touchés (par exemple. AWS S3) qui voient plusieurs alertes avec la raison « MDC_REOPEN_FOR_ACCIDENTAL_DELETE » et ouvrent un nouveau dossier de support avec le support Palo Alto Networks TAC pour une enquête plus approfondie.
Additional Information
Pour plus d’informations, reportez-vous à : Prisma Cloud Raisons de résolution des alertes